Flashを用いたクロスドメインアクセス

前回までは，クロスドメインアクセスを行うための方法として，リバースProxyを使う方法とJSONPを使う方法を紹介しましたが，どちらの方法も少し変わった方法だったと思います。なにか無理やりのように感じた方もいるのではないでしょうか。今回紹介するFlashを使った方法では前回までの方法とは違い，自然な形でクロスドメインアクセスを行うことができます。

Flashでは，呼び出される側で設定を行うことでクロスドメインアクセスが可能になります。

設定といっても非常に簡単で，呼び出される側のWebサーバにcrossdomain.xmlというファイルを設置するだけです。このときのURLは

となります。

ファイルの内容は以下のようになります。

<cross-domain-policy>
 <allow-access-from domain="www.securesky-tech.com" />
</cross-domain-policy>

このように設定ファイルを記述すれば，www.securesky-tech.comからのクロスドメインアクセスを許可するという設定になります。

それでは，Flashではどのような順序でクロスドメインアクセスが行われるかを見ていきます。

まずユーザはFlashが置かれているサイトへアクセスしに行きます(1)。このFlashファイルにクロスドメインアクセスを行う命令が書かれています(2)。このとき，ブラウザはクロスドメインアクセスを行う前に，アクセス先のサイトからcrossdomain.xmlを取得します(3)。このファイルで許可設定がされている場合にのみ，クロスドメインアクセスが行われます(4)。

XMLHttpRequestオブジェクトの場合にクロスドメインアクセスが完全に禁止されていたのとは対象的に，Flashの場合は，許可するか禁止するかを，設定ファイルによって変更することができるようになっています。ディレクトリごとに設定を変えたい場合には，サブディレクトリごとにcrossdomain.xmlファイルを置くことができます。なお，crossdomain.xmlファイルを設置していない場合はクロスドメインアクセスは行われません。

Flashでのクロスドメインアクセスを認める場合のセキュリティ

もしcrossdomain.xmlで許可設定をした場合，他のファイル（たとえばログイン後の画面）に対してまでクロスドメインアクセスができてしまいます。つまり，悪用されるとユーザの情報が盗まれてしまうことになります。許可設定を行う場合には，他のページで機密情報を扱っていないかを十分確認するようにしてください。

とくに，WebAPIを公開する際には注意が必要です。WebAPIを公開し，Flashからも利用してもらいたい場合，crossdomain.xmlファイルは以下のようになります。これはすべてのドメインからクロスドメインアクセスを認めるという設定になります。

<cross-domain-policy>
 <allow-access-from domain="*" />
</cross-domain-policy>

このとき，もし同じサイトで他のサービスを提供していた場合には，そのサービスに対してもクロスドメインアクセスが可能になってしまいます。その結果，第2回で説明したように，クロスドメインアクセスを悪用した情報漏えいが発生します。

このようなことを防ぐためには，まずクロスドメインでアクセスされることを許可するサービスと，そうでないサービスを明確にしておく必要があります。その上で，それぞれのサービスを別のドメインで提供するようにします。たとえば既存のサービスのドメインがwww.securesky-tech.comとなっている場合には，api.securesky-tech.comというドメインを作り，WebAPIを提供するようにします。また，サブディレクトリで分けることでも対策となります。